

Governance die snelheid mogelijk maakt, geen compliant middelmaat
Mario Beck
2026-06-23
Elk AI-risicoregister noemt dezelfde dingen. Datalekken. Compliancefouten. Ongeoorloofd gebruik. Allemaal reëel, allemaal het beheren waard.
Maar dit risico haalt de lijst nooit: het risico dat je AI niet gebruikt, of zo voorzichtig gebruikt dat je het net zo goed kunt laten.
Dit is het risico dat je het makkelijkst negeert, omdat het nooit als incident opduikt. Een bedrijf kan een jaar of langer aan een compleet AI-beleid sleutelen terwijl concurrenten shippen, leren en voorbijtrekken. Tegen de tijd dat het beleid is goedgekeurd, is de markt alweer verder. Er gaat niets zichtbaar kapot, dus niemand noemt het een mislukking. Maar de kosten zijn echt: het product dat je niet lanceerde, de uren die je niet bespaarde, het terrein dat je stilletjes prijsgaf terwijl je perfect compliant bleef.
Ik noem het compliant middelmaat. Alles "goed" doen terwijl de wereld je voorbijstreeft. Het is het faalpatroon dat niemand op het register zet, omdat het stil is, en omdat de mensen die ervoor verantwoordelijk zijn meestal geprezen worden om hun voorzichtigheid.
Over-governance is een echt faalpatroon
Dit is geen pleidooi tegen governance. Het is een pleidooi tegen de soort die afremt in plaats van mogelijk maakt.
Denk aan vangrails op een bergweg. Ze vertragen je niet. Ze laten je de bochten met vertrouwen nemen. Goede AI-governance doet hetzelfde. Ze vertelt je welke bochten gevaarlijk zijn, zodat je op de rest snel kunt gaan. Slechte governance is een wegversperring waarbij iedereen moet uitstappen en lopen.
Er is een woord voor wat over-governance je stilletjes kost: opportuniteitskosten. De waarde die je opgeeft door te veilig te spelen. Het komt nooit op een begrotingsregel of een risicoregister terecht, en juist daarom blijf je het zo makkelijk betalen, kwartaal na kwartaal.
Het doel is niet het AI-programma met het laagste risico. Nul risico haalt iedereen door niets te doen. Het doel is het programma met de hoogste waarde dat je veilig kunt draaien. Dat is een ander doel, en het verandert hoe je het hele ding ontwerpt.
Stuur op uitkomsten, niet op tools
"Gebruik alleen goedgekeurde tools" is een regel die je al verloren hebt. Je mensen lopen drie stappen voor, en de toollijst is verouderd op de dag dat je 'm publiceert. Elk uur dat je erin steekt om 'm bij te houden, is een uur dat je verliest.
De oplossing is sturen op de uitkomst in plaats van op de tool. "Geen klantdata in externe systemen" is afdwingbaar en stabiel. De tools kunnen wekelijks veranderen. De uitkomst niet. Bouw je governance rond een kleine set uitkomsten die altijd moeten gelden, en je stopt met het najagen van een lijst die nooit stilstaat.
Je bent hierin in goed gezelschap. Het NIST AI Risk Management Framework, de meest gebruikte AI-risicostandaard, is bewust uitkomstgericht en technologie-neutraal. Het benoemt de resultaten die je moet halen en laat de specifieke tools aan jou over, om precies deze reden: de technologie beweegt sneller dan welke goedgekeurde lijst dan ook kan bijhouden.
Een model van één pagina dat werkt:
- Bepaal de uitkomsten die altijd moeten gelden. Datagrenzen, auditeerbaarheid, menselijke goedkeuring waar de inzet hoog is.
- Zet die als vangrails neer, en laat teams daarbinnen zelf hun tools kiezen.
- Wijs per uitkomst een eigenaar aan, zodat het iemands taak is en niet niemands.
- Evalueer de uitkomsten elk kwartaal. De tools nooit.
Uitkomstgerichte governance beweegt op de snelheid van je business. Toolgerichte governance beweegt op de snelheid van je laatste beleidsvergadering.
Waarom centrale AI-governance faalt
Er is een sterke verleiding om AI te besturen zoals we cybersecurity besturen: centrale autoriteit, strakke controle, duidelijke grenzen, gestandaardiseerde tools. Het is een bewezen model. Het werkt alleen niet voor AI, en het kopiëren ervan is precies waarom zoveel AI-programma's vastlopen.
Cybersecurity werkt centraal omdat het dreigingsoppervlak relatief stabiel is. AI is het tegenovergestelde. Verspreid gebruik, opkomende toepassingen, constant experimenteren, geen duidelijke grens. Probeer elke tool en use case vanuit het hoofdkantoor goed te keuren en je wordt het knelpunt waar iedereen omheen werkt. De controle ziet er op papier strak uit en lekt in de praktijk aan de randen.
Wat wél werkt is gefedereerde controle, geen centraal commando:
- Het hoofdkantoor stelt de principes en de niet-onderhandelbare uitkomsten vast.
- Teams kiezen zelf hoe ze die halen, met hun eigen context.
- Een lichte centrale functie cureert, ondersteunt en audit, in plaats van alles goed te keuren.
- De verantwoordelijkheid ligt bij het team, afgemeten aan duidelijke uitkomsten.
Duidelijke principes, verspreide uitvoering, uitkomstgerichte verantwoordelijkheid. Zo bestuur je iets dat sneller verandert dan je goedkeuringsproces. Het verraderlijke teken is snelheid. Als je AI-verzoeken weken in een wachtrij staan, heb je geen controle. Je hebt een achterstand die mensen stilletjes overslaan.
Dit komt overeen met wat analisten in de praktijk zien. McKinsey's gids voor het gen-AI-operatingmodel beschrijft dezelfde boog: de meeste bedrijven beginnen met een centraal team en stappen daarna bewust over op een gefedereerd model naarmate ze volwassener worden, zodat AI in het dagelijkse werk wordt ingebouwd in plaats van in een centrale wachtrij te belanden.
De EU AI Act is een vangrail, geen rem
De helft van de zalen waar ik binnenloop behandelt de EU AI Act als een handrem op innovatie. Volgens mij is dat precies omgekeerd.
Haal het juridische jargon weg en veel van de Act is gewoon goede praktijk die je sowieso zou willen. Weet welke AI-systemen je echt hebt. Kun uitleggen waarom een systeem met hoge inzet een bepaald antwoord gaf. Houd een mens in de lus waar de inzet hoog is. Leg je beslissingen vast zodat ze een audit overleven. Voelen die dingen onmogelijk, dan is de regelgeving niet het probleem. Dan heb je nog geen zicht op je eigen AI.
Het helpt om te weten hoe de Act echt in elkaar zit. Het kader van de Europese Commissie deelt AI in vier risiconiveaus in: onaanvaardbaar (verboden), hoog, beperkt (transparantieverplichtingen) en minimaal. Het meeste van wat een normaal bedrijf doet, valt in de minimale of beperkte niveaus, waar de last licht is. De zware verplichtingen zijn voorbehouden aan echt hoog-risico toepassingen zoals werving, kredietscoring en kritieke infrastructuur.
Ook de tijdlijn geeft je meer ruimte dan de krantenkoppen suggereren. De Act trad op 1 augustus 2024 in werking. Verboden praktijken golden vanaf februari 2025, en verplichtingen voor general-purpose AI-modellen vanaf augustus 2025. De zwaarste golf, de verplichtingen voor losstaande hoog-risico systemen, is uitgesteld onder de Digital Omnibus die in 2026 is afgesproken, en geldt nu vanaf 2 december 2027 (met hoog-risico AI die in gereguleerde producten zit, volgend op 2 augustus 2028).
Dat is geen excuus om te wachten. Het is tijd om rustig zicht te krijgen in plaats van in paniek. Compliance en snelheid zijn hier geen tegenpolen. De bedrijven die eerst de vangrails bouwen, zijn de bedrijven die later het gaspedaal kunnen indrukken, omdat ze niet bang zijn voor wat ze zullen raken.
Begin met de inventaris, eindig met een eigenaar
Er zit een stille logische keten in de AI Act die teams pas laat opmerken. Zonder ontdekking geen inventaris. Zonder inventaris geen governance. Zonder governance ben je niet compliant. Een AI-inventaris is dus geen nice-to-have meer, maar de basis waar al het andere op rust. "We wisten niet welke AI onze mensen gebruikten" is geen acceptabel antwoord meer.
Het goede nieuws is dat een inventaris de meest concrete, minst theoretische stap van het geheel is. Een bruikbare bestaat uit een paar kolommen: het systeem en wat het doet, de data die het raakt, het risiconiveau, de eigenaar, en of het officieel of schaduw is. Begin als een gedeeld werkblad. Het gaat niet om een perfect document. Het gaat erom dat je eindelijk ziet wat je bestuurt.
Wil je niet vanaf een leeg werkblad beginnen? Onze gratis scan voor ingebedde schaduw-AI laat zien welke van je goedgekeurde tools stilletjes AI hebben aangezet, welke data ze kunnen bereiken, en wat dat betekent voor je verplichtingen onder de AI Act. Een snelle manier om de eerste rijen te vullen.
Ook je bestuur heeft geen 200 pagina's regelgeving nodig. Het heeft een korte readiness-checklist nodig waarbij elk punt een ja of een nee is, en elke "nee" een plek om te beginnen. Hebben we een inventaris, inclusief de schaduwsystemen? Kunnen we elk systeem op risico indelen? Kunnen we uitleggen hoe de systemen met hoge inzet tot een beslissing komen? Is er een mens verantwoordelijk waar het ertoe doet? Houden we vastlegging bij die een audit overleeft? Heeft iemand dit in eigendom, bij naam?
Dat laatste telt het meest. Vraag vijf leidinggevenden "wie is hier eigenaar van AI-governance?" en je krijgt vijf verschillende antwoorden, of vijf wezenloze blikken. AI-risico ligt verspreid over security, data, legal en de business, dus het valt in het gat ertussen, en dingen in dat gat worden niet bestuurd. Er wordt op gehoopt. Je hebt geen Chief AI Officer nodig op dag één. Je hebt één persoon met naam nodig die niet kan zeggen "dat is niet mijn taak", gesteund door een cross-functionele groep en echte dekking van bovenaf.
Vangrails op een snelle weg
Governance die blokkeert levert compliant middelmaat op. Governance die mogelijk maakt levert snelheid op die je kunt verdedigen. Het verschil zit niet in hoe streng je bent. Het zit erin of je op uitkomsten stuurt in plaats van op tools, de uitvoering verspreidt in plaats van centraliseert, en zicht als de basis behandelt in plaats van als bijzaak.
De stille opportuniteitskosten van wachten zijn het deel dat de meeste teams nooit in een getal vatten. Dat kan wel. Een AI-strategierapport brengt in kaart waar de meest waardevolle AI-winsten met de minste wrijving in jouw business zitten, en onze EU AI Act readiness-sprint maakt van de bestuurschecklist hierboven een concrete, bestuursklare routekaart.
Liever gratis beginnen? Ik heb de praktische onderdelen samengebracht in een governance-starterpack: het uitkomstgerichte model van één pagina, de EU AI Act-checklist voor je bestuur, en een startsjabloon voor een AI-inventaris. Je krijgt het via onze nieuwsbrief hier.
Wil je uitvogelen wie hier in jouw organisatie eigenaar van zou moeten zijn? Stuur me een DM. Het is de vraag die ik het vaakst krijg, en meestal het snelst op te lossen.